Begrebet dataansvarlig efter GDPR
Oversat titel
The concept of data controller according to GDPR
Forfatter
Hasselbalch, August Skoubo
Semester
4. semester
Uddannelse
Udgivelsesår
2024
Afleveret
2024-05-16
Resumé
Specialet undersøger, hvornår man er dataansvarlig efter EU’s databeskyttelsesforordning (GDPR), og om både en privat køber og en producent kan blive dataansvarlige som følge af behandling, der sker gennem et produkt, med fokus på robotstøvsugere med kamera. Med udgangspunkt i forordningens materiale og territoriale anvendelsesområde, definitionen af dataansvarlig samt de grundlæggende behandlingsprincipper analyseres, hvem der fastlægger formål og hjælpemidler for behandlingen, herunder muligheden for fælles dataansvar. Metoden følger en tragtstruktur: først den generelle regulering, dernæst relevante afgørelser og vejledninger, og til sidst anvendelse på et konkret produkt. Arbejdet afgrænser fra andre regelsæt, sanktioner og tredjelandsoverførsler. Analysen viser, at GDPR’s anvendelsesområde er bredt, men at privat brug i rent personlige eller husholdningsmæssige sammenhænge falder uden for forordningen. En dataansvarlig kan være en fysisk eller juridisk person, en offentlig myndighed eller et andet organ, og flere kan være fælles dataansvarlige, hvor forpligtelserne fordeles efter, hvem der bedst kan opfylde dem i praksis. I anvendelsen på robotstøvsugere konkluderes, at private brugere i eget hjem typisk er omfattet af husholdningsundtagelsen, mens producenten kan være dataansvarlig, når denne bestemmer formål og hjælpemidler, fx ved at indbygge kameraer og definere formålet som husholdningsmonitorering. Producenten vil derimod næppe være dataansvarlig, hvis produktet anvendes i strid med det specificerede formål, f.eks. i offentlige områder, og køberen kan blive dataansvarlig, når vedkommende selv fastlægger formålet, bruger produktet til andre formål end de angivne, lagrer optagelser eller deler dem online.
The thesis examines when an entity qualifies as a data controller under the EU General Data Protection Regulation (GDPR) and whether both a private buyer and a manufacturer can become controllers due to processing carried out through a product, with a focus on camera‑equipped robot vacuum cleaners. It analyzes the Regulation’s material and territorial scope, the definition of a controller, and the core processing principles to assess who determines the purposes and means of processing, including the possibility of joint controllership. The method follows a funnel approach: starting with the general framework, then considering relevant case law and guidance, and finally applying the analysis to a concrete product. The study excludes other legal regimes, sanctions, and international transfers. The analysis finds that GDPR’s scope is broad, but purely personal or household activities fall outside it. A controller may be a natural or legal person, public authority, or other body, and multiple parties can be joint controllers, with obligations allocated according to who is best placed to comply. Applied to robot vacuums, private users in their own home are typically covered by the household exemption, while the manufacturer can be a controller where it determines purposes and means, for example by embedding cameras and defining the purpose as household monitoring. The manufacturer is unlikely to be a controller when the product is used contrary to the specified purpose, such as in public spaces, and the buyer becomes a controller when they set their own purposes, use the product for purposes beyond those specified, store recordings, or share them online.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]